[29/11/2022] El Consejo de la Unión Europea (UE) ha adoptado una nueva directiva sobre ciberseguridad destinada a mejorar la capacidad de resistencia y de respuesta ante incidentes en toda la UE, que sustituye a la NIS, la actual directiva sobre la seguridad de las redes y los sistemas de información.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
La nueva directiva, NIS2, establecerá la base para las medidas de gestión de riesgos de ciberseguridad y las obligaciones de información en todos los sectores, y pretende armonizar los requisitos de ciberseguridad y la aplicación de las medidas en los distintos Estados miembros.
NIS2 mejora la cooperación en la gestión de incidentes de la UE
"La NIS2 establecerá la línea de base para las medidas de gestión de riesgos de ciberseguridad y las obligaciones de información en todos los sectores cubiertos por la directiva, como la energía, el transporte, la salud y la infraestructura digital", se lee en un comunicado de prensa del Consejo de la UE.
La directiva revisada pretende armonizar los requisitos y las medidas de ciberseguridad en todos los Estados miembros, estableciendo unas normas mínimas para un marco normativo y fijando los mecanismos para una cooperación eficaz entre las autoridades pertinentes, añadió. "Actualiza la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad, y prevé recursos y sanciones para garantizar su cumplimiento", prosigue el comunicado, citando también la creación de la Red Europea de Organización de Enlace para Cibercrisis (EU-CyCLONe) para apoyar la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala.
NIS2 introduce normas para identificar a las entidades reguladas
La NIS2 introduce una nueva "regla de tope de tamaño" para la identificación de las entidades reguladas, lo que significa que todas las entidades medianas y grandes que operan en los sectores o prestan servicios cubiertos por la directiva entrarán en su ámbito de aplicación, declaró el Consejo de la UE. "Su texto incluye disposiciones adicionales para garantizar la proporcionalidad, un mayor nivel de gestión del riesgo, y criterios de criticidad bien definidos para permitir a las autoridades nacionales determinar más entidades cubiertas".
El texto también aclara que la directiva no se aplicará a las entidades que realicen actividades en ámbitos como la defensa o la seguridad nacional, la seguridad pública y la aplicación de la ley. "El poder judicial, los parlamentos y los bancos centrales también están excluidos del ámbito de aplicación".
La NIS2 racionaliza las obligaciones de información
Además, la nueva directiva se ha alineado con la legislación específica del sector, en particular con la Ley de Resiliencia Operativa Digital (DORA) para el sector financiero (DORA) y el Centro para la Reforma Europea (CER) sobre la resiliencia de las entidades críticas, para proporcionar claridad jurídica y garantizar la coherencia entre la NIS2 y estos actos, señaló el Consejo de la UE. "Un mecanismo voluntario de aprendizaje entre iguales aumentará la confianza mutua y el aprendizaje de las buenas prácticas y experiencias en la Unión, contribuyendo así a alcanzar un alto nivel común de ciberseguridad".
La nueva legislación también racionalizará las obligaciones de notificación para evitar que se produzca un exceso de notificación y se cree una carga excesiva para las entidades cubiertas.
La NIS2 se publicará en el Diario Oficial de la Unión Europea en los próximos días y entrará en vigor a los 20 días de esta publicación. Los Estados miembros dispondrán de 21 meses a partir de la entrada en vigor de la Directiva para incorporar las disposiciones a su legislación.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú